大日本印刷の個人情報流出とプライバシーマーク
大日本印刷の個人情報の流出事件(2/20公表)に対して、プライバシーマーク(Pマーク)制度の運営機関(日本情報処理開発協会)は、Pマークの取消処分にはせず、「改善要請」処分にしたようですね。
今日の日経新聞では、「Pマークの信頼揺らぐ」の見出しをつけています。流出個人情報総数860万件(会社数は43社)。確かに流出規模が大きいですね。不二家の事件ではISO9000(製造品質)やISO14000(環境)という規格認証が少し話題になりましたが、PマークはJISQ15001(個人情報)という規格認証の制度です。同様なものにISMS、ISO/IEC27001(情報セキュリティ)という規格認証の制度もあります。以前からこれら「認証もの」の形骸化が言われてきていますが、残念というべきか当然と言うべきか。日本情報処理開発協会の処分は、是非としてはどうだったのか。なんだか、東証の日興CG上場維持判断の件にも似て見えますね。
Pマークを通して日本企業に個人情報保護ということを浸透させていこうとする関係者の努力は多としますが、消費者等個人はPマークに過大な期待をするべきではないように思います。「無いよりまし」(かもしれない)くらいで理解しておいた方がよいのではないでしょうか。
「認証もの」でも、PマークがISO9000やISO14000、ISMSと違う点は、取引先企業向けにアピールするための認証ではなく、本来は一般の消費者にアピールするためのものであるということです。消費者から見て、個人情報保護法以上に個人情報保護がきちんとなされている会社かどうか、見分けるのは難しい。そこでPマークのようなシンボルで簡単に見分けられるようにしようとしています。しかし、消費者等の個人に対してこのような絶対的な意味合いで信頼性を訴求するなら、今回のような事件を起こした企業は制度運用上で確実に排除しなければいけないのではないでしょうか。日経の記事にある主張はこのような考え方であると思います。
ちなみに、総合的に考えて”執行猶予”付きか”実刑”かの判断の選択肢を設けた方がよいというのならば、半年程度の”執行猶予”ではなく、更新期1~3回(2~6年)の間の”執行猶予”くらいの”量刑”を設けるべきではと思います。当然、”執行猶予”状態であることは消費者等に明示することが条件です。
一方、現実運用として企業側の実情も加味しなければならないのは分かります。まして企業として外部委託が不可避な場合では、今回のように個人情報管理が余計に難しくなるでしょう。しかし、そのように現実性を加味するならば、絶対的な意味合いで信頼性を訴求してはいけないと思います。この場合には、消費者等の個人に対して、日本情報処理開発協会も企業も、その程度のものとして理解するようにきちんと伝えるべきです。
また、前にPマークは本来は一般の消費者にアピールするためのものであると書きましたが、外部受託をしようとする会社が原企業向けにアピールする際にも利用されています。この点について、原企業はPマーク取得を実質的な委託先選定の絶対条件にすべきではないと思います。それは委託元企業の”免罪符”でしかない状況になりかねないからです(既になっているかもしれませんが)。消費者は原企業(外部委託元企業)を信頼して個人情報を預けるわけであり、たとえ外部委託されるにせよ、外部委託先がPマーク取得企業であろうとなかろうと、原企業としての管理能力が適切に発揮されるであろうと期待しているわけです。それが単なる”免罪符”の購入しかできないというのでは困りますよね。
今回の事件での外部委託元の責任はどのように扱われるのでしょうか。個人情報保護法上は当然のこと、外部委託元企業がPマーク取得企業なら日本情報処理開発協会の処分対象にもなりうるわけですから。監督官庁、日本情報処理開発協会ともに処分検討の公表がないということは、”無罪”という判断なのでしょうね。内部統制の限界がありますからね。今回は、「内部統制の整備及び運用に際しては、費用と便益との比較衡量が求められる」という点でしょうか。
日経新聞2007.3.24 Pマークの信頼揺らぐ 情報流出の大日本印刷 取り消し処分にならず
「・・・
Pマーク取り消しには至らず、関係業界では『流出規模の割りに処分が軽く、マークの信頼性にかかわる』との声も出ており、議論を呼びそうだ。
・・・
金融機関、電話会社、自治体が・・・委託先選定の条件にPマーク取得を含めているケースが多い。大日本はこの種の受託事業のシェアが大きく、いきなりPマークを取り消すと企業や自治体の業務に支障をきたす恐れがあるため、現実的な処分にとどめたとみられる。
ただ、『過去最大の流出事故でも取り消しにならないとすれば、マークは指標にならず、取得する意味がなくなる』(印刷大手幹部)との批判が上がっている。
・・・」
≪Pマーク≫「個人情報事故 大日本印刷(株)要請処分」について2007.3.23 日本情報処理開発協会
DNPより 個人情報の流出に関するお詫びとお知らせ 2007年3月12日
DNPより [別紙] 個人情報流出の対象となった会社一覧 2007年3月12日
(追記)2007.3.25
JIPDEC 「個人情報事故 大日本印刷(株)要請処分」について2007.03.25
「影響が小さい場合はマークを剥奪するが、影響が大きすぎる場合はマークを剥奪できない・・・ということではないかもしれませんが、これからは、こういう運用になるのでしょうね。。。
Pマーク制度が始まった時代と今とでは社会における位置づけがかわっているのであれば制度運用も変更しなければならないかもしれませんね。。。」
情報セキュリティや内部統制等の専門分野での人気ブログ「まるちゃんの情報セキュリティ気まぐれ日記」でも今回の日本情報処理開発協会(JIPDEC)の処分について書いています。丸山さんの考えは、日経の記事にある主張とは逆ということなのかな・・・
| 固定リンク
「日々の雑感」カテゴリの記事
- 製造業売上高 海外比率5割に迫る(2008.06.08)
- 外国人定住への検討着手(2008.05.05)
- 内需型企業の海外シフト(2008.04.24)
- 世界的な食糧危機(2008.04.24)
- クローン犬のビジネス(2008.02.17)
コメント
史上最高の864万人分の個人情報を流出させた大日本印刷もすごい。
窓から風に乗せて、5人分の書類が飛ばされたハローワーク川越には呆れる。
事件捜査で入手した個人情報計約610人分が流出させた山梨県警は論外。
私有パソコンから、患者約150人の個人情報を流出させた
東京大学医学部付属病院の医師も意識が低すぎ。
「NHKのど自慢」の出場者1269人分 の個人情報を流出させたNHKに
受信料銀行振込なんかにしていたら、口座情報まで漏れそうで怖い。
などと思っていたらこんなのがあった。出版社「ダイヤモンド社」のホームページ。
http://www.d-vision.ne.jp/
同社の「D-VISION NET」というデータサービスらしいが、「有力企業8万社、
19万事業所、役員・管理職29万人の豊富なデータベースを収録」とある。
え!?個人情報って流出させるのはいけないのに、売るのはいいの?
一方、こんなページまである。
http://nomoreijime.web.fc2.com/shousetu_04.htm
ここの“脱法ドラッグ”並みの言い訳というあたりを読むと愕然とする。
いったい個人情報保護法って何なの?
投稿: sitara | 2007年4月12日 (木) 12時25分
sitaraさん、コメントありがとうございます。
法律の場合は大企業も町内会も一律に規制するものなので、どうしても小さな事業者でも注意を払えば順守できる(事業活動をしていける)水準に合わせざるをえない面がありますね。従って、規模の大きい企業の本来の力量から見れば、どうしても緩いもの(”ザル法”?)になってしまいます。これはある程度やむを得ないかと思います。だからと言って、大きな事業者の管理レベルも処罰水準ぎりぎりでよいという態度では趣旨とは異なりますが。
一方、Pマークのケースは違いますよね。小さかろうが大きかろうが自発的に事業者が約束するものですから。
しかしながら、どちらにせよ、個人情報をしっかりと大切に取り扱うという常識が早く世の中に定着してほしいものですね。
投稿: 新丸 | 2007年4月12日 (木) 23時14分